Демілітаризована зона (комп'ютерні мережі)

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

Демілітаризована зона (ДМЗ, DMZ) — технологія забезпечення захисту інформаційного периметра, при котрій сервери, що відповідають на запити з внутрішньої мережі, знаходяться в особливому сегменті мережі (який і називається ДМЗ) та обмежені в доступі до основних сегментів мережі за допомогою файєрвола, з метою мінімізувати збиток при зломі одного з загальнодоступних сервісів, що знаходяться в зоні.

Конфігурації ДМЗ[ред.ред. код]

Залежно від вимог до безпеки, ДМЗ може бути з одним, двома або трьома файєрволами.

Конфігурація з одним файєрволом[ред.ред. код]

Схема з одним файєрволом

В цій схемі ДМЗ внутрішня мережа та зовнішня мережа підключаються до різних портів маршрутизатора (що має роль файєрвола), який контролює з’єднання між мережами. Така схема проста в реалізації, вона вимагає лише одного додаткового порта. Однак у випадку злому (або помилки конфігурування) маршрутизатора мережа лишається вразливою просто з зовнішньої мережі.

Конфігурація з двома файєрволами[ред.ред. код]

Схема з двома файєрволами та загальним з’єднанням

В конфігурації з двома файєрволами ДМЗ підключається до двох маршрутизаторів, один з котрих обмежує з’єднання з зовнішньої мережі в ДМЗ, а другий контролює з’єднання з ДМЗ до внутрішньої мережі. Така схема дозволяє мінімізувати наслідки злому будь-якого з файєрволов або серверів, що взаємодіють з зовнішньою мережею — до тих пір, поки не буде зламаний внутрішній файєрвол, зловмисник не буде мати довільного доступу до внутрішньої мережі.

Конфігурація з трьома файєрволами[ред.ред. код]

існує рідкісна конфігурація з трьома файєрволами. В цій конфігурації перший з них приймає на себе запити з зовнішньої мережі, другий контролює мережеві підключення ДМЗ, а третій — контролює з’єднання внутрішньої мережі. В такій конфігурації зазвичай ДМЗ і внутрішня мережа є приховані за NAT (трансляцією мережевих адрес).

Однією з ключових особливостей ДМЗ є не тільки фільтрація трафіку на внутрішньому файєрволі, але і обов’язкова сильна криптографія при взаємодії між активним обладнанням внутрішньої мережі і ДМЗ. Зокрема, не повинно бути ситуацій, в яких можлива обробка запиту від сервера в ДМЗ без авторизації. У випадку, якщо ДМЗ використовується для забезпечення захисту інформації всередині периметру від витоку назовні, аналогічні вимоги надаються для обробки запитів користувачів із внутрішної мережі.

Посилання[ред.ред. код]